一种物联网信令风暴攻击检测的方法及装置制造方法及图纸

本发明专利技术涉及物联网技术领域，提供了一种物联网信令风暴攻击检测的方法及装置。方法包括根据获取S10、S11和S6a接口的参数来对S1‑MME接口的NAS消息解密；统计预设时间区间内的异常流量、附着消息异常量、鉴权消息异常量、激活消息异常量、切换消息异常量、寻呼消息异常量等多项的总评分；根据所述总评分确认当S1‑MME接口是否遭受到信令风暴攻击。本发明专利技术插入监测探针，采集并解析接口正常的信令消息，建立物联网信令风暴攻击识别模型，该算法模型原理主要是区域、基站、消息类型、物联网终端等维度的S1‑MME接口附着、激活、鉴权、切换消息数量来设定合理的阈值，实时精确地检测物联网络中的信令风暴安全事件。

【技术实现步骤摘要】
一种物联网信令风暴攻击检测的方法及装置
本专利技术涉及物联网
，特别是涉及一种物联网信令风暴攻击检测的方法及装置。
技术介绍
在移动物联网中经常会由于被黑客攻击或物联网终端故障原因导致在接入侧产生海量的信令消息，这些信令消息往往会造成网络拥堵、延时，严重的可导致核心网元瘫痪，从而影响移动物联网的正常运营。然而，现有技术中并没有一种有效的手段能够识别和确认移动物联网中受到信令风暴的攻击。鉴于此，克服该现有技术所存在的缺陷是本
亟待解决的问题。
技术实现思路
本专利技术要解决的技术问题是现有技术中并没有一种有效的手段能够识别和确认移动物联网中受到信令风暴的攻击。本专利技术进一步要解决的技术问题是提高识别的准确性，以及识别类型的丰富性。本专利技术采用如下技术方案：第一方面，提供了一种物联网信令风暴攻击检测的方法，在S1-MME、S10、S11和S6a各接口链路上布署分光器设备，镜像各接口的数据原始流量，并由设置的探针采集镜像流量，并将通过探针采集得到的镜像流量数据发送给处理终端，包括：根据获取S10、S11和S6a接口的参数来对S1-MME接口的NAS消息解密；统计预设时间区间内，对应于MME网元、eNB基站、区域和终端四种类型主体的，各类型主体下的异常流量、附着消息异常量、鉴权消息异常量、激活消息异常量、切换消息异常量、寻呼消息异常量、附着成功率异常量、鉴权成功率异常量、激活成功率异常量、切换成功率异常量、寻呼成功率异常量中的一项或者多项的总评分；根据所述总评分确认当S1-MME接口是否遭受到信令风暴攻击。优选的，所述根据获取S10、S11、S6a接口的参数来对S1-MME接口的NAS消息解密，具体包括：在S6a接口的Diameter协议中的AIR消息和AIA消息中提取IMSI、AUTN、KASME，并建立IMSI和AUTN的第一关联关系；建立解密所需的第二关联结构，所述第二关联结构包括：AUTN、XRES、RAND、KASME、加密标识、完整保护算法标识、上行计数和下行计数；从Authenticationrequest消息中提取AUTN，并与MMEID和ENBID建立第三关联关系；提取EPSintegrityalgorithm信息，并与所述MMEID、所述ENBID和所述第三关联关系，更新所述加密标识；通过MMEID、ENBID和加密的NAS消息，计算出AUTN，并通过计算出的AUTN在第二关联结构中找到相应KASME；根据KASME推导KNASME，进一步完成NAS消息解密。优选的，所述异常流量、附着消息数量异常量、鉴权消息数量异常量、激活消息数量异常量、切换消息数量异常量、寻呼消息数量异常量、附着成功率异常量、鉴权成功率异常量、激活成功率异常量、切换成功率异常量和寻呼成功率异常量的确认，具体包括：统计时间区间内MME网元/eNB基站/区域/终端的流量值，判断超过预设的第I低阈值、预设的第I中阈值或者预设的第I高阈值，并根据超过预设的第I低阈值、预设的第I中阈值和预设的第I高阈值分别给予20、15和10的评分；其中，流量值超过预设的第I低阈值便认为出现异常流量；统计时间区间内MME网元/eNB基站/区域/终端的Attach消息条数，判断超过预设的第II低阈值、预设的第II中阈值或者预设的第II高阈值，并根据超过预设的第II低阈值、预设的第II中阈值和预设的第II高阈值分别给予10、7和4的评分；其中，Attach消息条数超过预设的第II低阈值便认为出现附着消息异常量；统计时间区间内MME网元/eNB基站/区域/终端的Authentication消息条数，判断超过预设的第III低阈值、预设的第III中阈值或者预设的第III高阈值，并根据超过预设的第III低阈值、预设的第III中阈值和预设的第III高阈值分别给予10、7和4的评分；其中，Authentication消息条数超过预设的第III低阈值便认为出现鉴权消息异常量；统计时间区间内MME网元/eNB基站/区域/终端的E-RABSetup和DedicatedEPSBearerContextActivation消息条数，判断超过预设的第IV低阈值、预设的第IV中阈值或者预设的第IV高阈值，并根据超过预设的第IV低阈值、预设的第IV中阈值和预设的第IV高阈值分别给予10、7和4的评分；其中，E-RABSetup和DedicatedEPSBearerContextActivation消息条数超过预设的第IV低阈值便认为出现激活消息异常量；统计时间区间内MME网元/eNB基站/区域/终端的S1切出和S1切入消息条数，判断超过预设的第V低阈值、预设的第V中阈值或者预设的第V高阈值，并根据超过预设的第V低阈值、预设的第V中阈值和预设的第V高阈值分别给予10、7和4的评分；其中，S1切出和S1切入消息条数超过预设的第V低阈值便认为出现切换消息异常量；统计时间区间内MME网元/eNB基站/区域/终端的Paging消息条数，判断超过预设的第VI低阈值、预设的第VI中阈值或者预设的第VI高阈值，并根据超过预设的第VI低阈值、预设的第VI中阈值和预设的第VI高阈值分别给予10、7和4的评分；其中，Paging消息条数超过预设的第VI低阈值便认为出现寻呼消息异常量；统计时间区间内MME网元/eNB基站/区域/终端的Attach消息的成功率，判断超过预设的第VII低阈值、预设的第VII中阈值或者预设的第VII高阈值，并根据超过预设的第VII低阈值、预设的第VII中阈值和预设的第VII高阈值分别给予6、4和2的评分；其中，Attach消息的成功率超过预设的第VII低阈值便认为出现附着成功率异常量；统计时间区间内MME网元/eNB基站/区域/终端的Authentication消息的成功率，判断超过预设的第VIII低阈值、预设的第VIII中阈值或者预设的第VIII高阈值，并根据超过预设的第VIII低阈值、预设的第VIII中阈值和预设的第VIII高阈值分别给予6、4和2的评分；其中，Authentication消息的成功率超过预设的第VIII低阈值便认为出现鉴权成功率异常量；统计时间区间内MME网元/eNB基站/区域/终端的E-RABSetup和DedicatedEPSBearerContextActivation消息的成功率，判断超过预设的第IX低阈值、预设的第IX中阈值或者预设的第IX高阈值，并根据超过预设的第IX低阈值、预设的第IX中阈值和预设的第IX高阈值分别给予6、4和2的评分；其中，E-RABSetup和DedicatedEPSBearerContextActivation消息的成功率超过预设的第IX低阈值便认为出现激活成功率异常量；统计时间区间内MME网元/eNB基站/区域/终端的S1切出和S1切入消息的成功率，判断超过预设的第X低阈值、预设的第X中阈值或者预设的第X高阈值，并根据超过预设的第X低阈本文档来自技高网...

【技术保护点】
1.一种物联网信令风暴攻击检测的方法，其特征在于，在S1-MME、S10、S11和S6a各接口链路上布署分光器设备，镜像各接口的数据原始流量，并由设置的探针采集镜像流量，并将通过探针采集得到的镜像流量数据发送给处理终端，包括：/n根据获取S10、S11和S6a接口的参数来对S1-MME接口的NAS消息解密；/n统计预设时间区间内，对应于MME网元、eNB基站、区域和终端四种类型主体的，各类型主体下的异常流量、附着消息异常量、鉴权消息异常量、激活消息异常量、切换消息异常量、寻呼消息异常量、附着成功率异常量、鉴权成功率异常量、激活成功率异常量、切换成功率异常量、寻呼成功率异常量中的一项或者多项的总评分；/n根据所述总评分确认当S1-MME接口是否遭受到信令风暴攻击。/n

【技术特征摘要】
1.一种物联网信令风暴攻击检测的方法，其特征在于，在S1-MME、S10、S11和S6a各接口链路上布署分光器设备，镜像各接口的数据原始流量，并由设置的探针采集镜像流量，并将通过探针采集得到的镜像流量数据发送给处理终端，包括：
根据获取S10、S11和S6a接口的参数来对S1-MME接口的NAS消息解密；
统计预设时间区间内，对应于MME网元、eNB基站、区域和终端四种类型主体的，各类型主体下的异常流量、附着消息异常量、鉴权消息异常量、激活消息异常量、切换消息异常量、寻呼消息异常量、附着成功率异常量、鉴权成功率异常量、激活成功率异常量、切换成功率异常量、寻呼成功率异常量中的一项或者多项的总评分；
根据所述总评分确认当S1-MME接口是否遭受到信令风暴攻击。


2.根据权利要求1所述的物联网信令风暴攻击检测的方法，其特征在于，所述根据获取S10、S11、S6a接口的参数来对S1-MME接口的NAS消息解密，具体包括：
在S6a接口的Diameter协议中的AIR消息和AIA消息中提取IMSI、AUTN、KASME，并建立IMSI和AUTN的第一关联关系；
建立解密所需的第二关联结构，所述第二关联结构包括：AUTN、XRES、RAND、KASME、加密标识、完整保护算法标识、上行计数和下行计数；
从Authenticationrequest消息中提取AUTN，并与MMEID和ENBID建立第三关联关系；
提取EPSintegrityalgorithm信息，并与所述MMEID、所述ENBID和所述第三关联关系，更新所述加密标识；
通过MMEID、ENBID和加密的NAS消息，计算出AUTN，并通过计算出的AUTN在第二关联结构中找到相应KASME；
根据KASME推导KNASME，进一步完成NAS消息解密。


3.根据权利要求1所述的物联网信令风暴攻击检测的方法，其特征在于，所述异常流量、附着消息数量异常量、鉴权消息数量异常量、激活消息数量异常量、切换消息数量异常量、寻呼消息数量异常量、附着成功率异常量、鉴权成功率异常量、激活成功率异常量、切换成功率异常量和寻呼成功率异常量的确认，具体包括：
统计时间区间内MME网元/eNB基站/区域/终端的流量值，判断超过预设的第I低阈值、预设的第I中阈值或者预设的第I高阈值，并根据超过预设的第I低阈值、预设的第I中阈值和预设的第I高阈值分别给予20、15和10的评分；其中，流量值超过预设的第I低阈值便认为出现异常流量；
统计时间区间内MME网元/eNB基站/区域/终端的Attach消息条数，判断超过预设的第II低阈值、预设的第II中阈值或者预设的第II高阈值，并根据超过预设的第II低阈值、预设的第II中阈值和预设的第II高阈值分别给予10、7和4的评分；其中，Attach消息条数超过预设的第II低阈值便认为出现附着消息异常量；
统计时间区间内MME网元/eNB基站/区域/终端的Authentication消息条数，判断超过预设的第III低阈值、预设的第III中阈值或者预设的第III高阈值，并根据超过预设的第III低阈值、预设的第III中阈值和预设的第III高阈值分别给予10、7和4的评分；其中，Authentication消息条数超过预设的第III低阈值便认为出现鉴权消息异常量；
统计时间区间内MME网元/eNB基站/区域/终端的E-RABSetup和DedicatedEPSBearerContextActivation消息条数，判断超过预设的第IV低阈值、预设的第IV中阈值或者预设的第IV高阈值，并根据超过预设的第IV低阈值、预设的第IV中阈值和预设的第IV高阈值分别给予10、7和4的评分；其中，E-RABSetup和DedicatedEPSBearerContextActivation消息条数超过预设的第IV低阈值便认为出现激活消息异常量；
统计时间区间内MME网元/eNB基站/区域/终端的S1切出和S1切入消息条数，判断超过预设的第V低阈值、预设的第V中阈值或者预设的第V高阈值，并根据超过预设的第V低阈值、预设的第V中阈值和预设的第V高阈值分别给予10、7和4的评分；其中，S1切出和S1切入消息条数超过预设的第V低阈值便认为出现切换消息异常量；
统计时间区间内MME网元/eNB基站/区域/终端的Paging消息条数，判断超过预设的第VI低阈值、预设的第VI中阈值或者预设的第VI高阈值，并根据超过预设的第VI低阈值、预设的第VI中阈值和预设的第VI高阈值分别给予10、7和4的评分；其中，Paging消息条数超过预设的第VI低阈值便认为出现寻呼消息异常量；
统计时间区间内MME网元/eNB基站/区域/终端的Attach消息的成功率，判断超过预设的第VII低阈值、预设的第VII中阈值或者预设的第VII高阈值，并根据超过预设的第VII低阈值、预设的第VII中阈值和预设的第VII高阈值分别给予6、4和2的评分；其中，Attach消息的成功率超过预设的第VII低阈值便认为出现附着成功率异常量；
统计时间区间内MME网元/eNB基站/区域/终端的Authentication消息的成功率，判断超过预设的第VIII低阈值、预设的第VIII中阈值或者预设的第VIII高阈值，并根据超过预设的第VIII低阈值、预设的第VIII中阈值和预设的第VIII高阈值分别给予6、4和2的评分；其中，Authentication消息的成功率超过预设的第VIII低阈值便认为出现鉴权成功率异常量；
统计时间区间内MME网元/eNB基站/区域/终...

【专利技术属性】
技术研发人员：唐斌，张本军，胡文波，王赟，李明栋，李竞，
申请(专利权)人：武汉绿色网络信息服务有限责任公司，
类型：发明
国别省市：湖北;42